銀行に期待した「常時SSL」 その後……:萩原栄幸の情報セキュリティ相談室(2/2 ページ)
メガバンクでは?
筆者がこの調査をしようとした時、SSLに詳しい専門家から情報をいただいた。それは、みずほ銀行のTOPページにHTTPSを指定してアクセスすると、次のメッセージが表示されるというものだ。
ブックマーク(お気に入り)の登録変更をお願いします
目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/〜」を「http://www.mizuhobank.co.jp/〜」に修正し(httpsの”s”を削除)、エンターキーを押してください。https://www.mizuhobank.co.jp/〜は2014年11月27日よりご利用いただけなくなりました。
https://www.mizuhobank.co.jp/〜でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/〜に登録先の変更をお願いします(httpsの”s”を削除してください)。
どうやら、「HTTPSをHTTPに直して入ってください」ということである。ある意味、これは親切(HTTPSに対応していないという案内をしてくれる)と思えるが、このメッセージを米国やドイツの友人に見せたところ、「とても日本的だね、しかし誤解されてしまうよね」という。筆者もそう感じてしまうのだが……。
なお、三菱東京UFJ銀行も三井住友銀行もTOPページはHTTPSに対応していない。三菱東京UFJ銀行では「この Webサイトのセキュリティ証明書には問題があります」、三井住友銀行では「指定されたURLは存在しませんでした」と、いずれもエラー表示だけしかない。
メガバンクはネット専用銀行ではないが、それぞれ独自にネットバンキングのセキュリティ強化策を講じているから、TOPページはHTTPSには未対応なのかもしれない。
みずほ銀行の対応は、正しいURLに導いている点がいかにも日本人らしい気遣いだと善意に解釈できる。ただ、セキュリティに詳しくない利用者がこのメッセージを見ると、いかにも「HTTPの方が『安全』」という誤った知識を持ってしまうのではないかという不安を感じるし、もっと別の表現を使うべきではとも思う。みずほ銀行からコメントをいただいたので紹介する。
みずほフィナンシャルグループ
「調査によって当行のWebページを閲覧される大半のお客様がHTTPである状況が判明しております。HTTPは一般的な情報提供の手段として様々なWebサイトで広く行われており、安全性において極めて問題があるものではないと判断しております。また、他行においても同様であるケースが多い(HTTPS未対応)と認識しております。当行としては情報の重要度に基づいて適切なセキュリティ対策を講じるようにしております。重要情報の送受信が伴うサービスなどについては引き続きSSLによる暗号化通信を行い、安全性を確保しております」
このため、一般に提供する情報の範囲ではHTTPとし、HTTPSでアクセスした閲覧者にはその旨をお知らせして、「HTTPS」から「HTTP」への変更をお願いしているとのことだ。
常時SSLに対する各銀行の見解をまとめてみると、「今はまだその時期ではない」と考えているようだ。「HTTP=危険」「HTTPS=安全」という議論はやや乱暴だが、“同じ条件”であるなら、Googleの言う危険性があるのも事実である。
筆者が一番に心配するのは、Googleが予告通りに「HTTPは安全でない」と具体的に明示するようになった場合だ。最も困るのが金融機関であるのは間違いない。Googleで銀行を検索すると、「このサイトは安全ではありません」という表示やマークが出るのは不本意だと感じるからである。だからこそ、いまのうちにSSL化の方向で検討し、国際的にも利用者が満足するWebサイトをぜひ構築してほしい。そして、この動きが加速することを切に願っているのだ。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
日本の金融機関はなぜ「常時SSL」を実装しないのか?
通信内容を盗聴されないための暗号化通信の導入が世界中の多くのWebサイトで進んでいる。だが、日本ではまだ少なく、金融機関でも対応が鈍い。その理由はなぜか。
HTTP接続は「安全でない」と明示すべし――Googleが提案
「HTTPには情報セキュリティ対策が施されていない」という事実をもっとはっきりユーザーに示す必要があるとGoogleは主張する。- 萩原栄幸氏の過去の連載一覧はこちら
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。